如何使用扫描范围

您可以通过扫描范围来判断哪些url被攻击或抓取。您可以在应用程序中设置应用程序级别的url,也可以在扫描配置中设置扫描配置url。

设置app级扫描范围

当添加应用程序时,将创建应用级扫描范围应用程序并点击添加应用>目标域

添加新应用

在目标域中添加为应用程序指定的url。这些url构成扫描的种子url。对应用程序的任何扫描都将使用应用级url作为种子url。

应用扫描范围行为

当你添加一个应用级URL时,默认爬行攻击的限制是补充道。在域名URL后添加通配符。

通配符被添加到顶级域。

设置扫描配置扫描范围

你可以为每个应用建立额外的扫描url扫描范围并点击扫描的url

InsightAppSec扫描范围url

  • 应用程序的url—创建应用时设置的url。从应用程序运行的任何扫描都将使用应用程序的URL作为种子或基础URL。
  • 扫描配置url-添加更多的种子url,只适用于这个配置。您可以选择协议(HTTP或HTTPS)、子域(如www或api)和子页面。您可以一次添加一个URL,也可以在URL列表中添加类型。

扫描范围继承

设置扫描的方式决定了种子url是如何继承的。

示例1

扫描配置级别将覆盖应用程序级别的URL。

示例2

扫描将忽略http://domain.com/login。

扫描范围配置示例

在本节中,我们将介绍不同的应用程序级和扫描级配置以及每个配置的预期行为。

爬2页

如果你只需要在应用程序中爬行2个页面,请使用此配置。

例如:

  1. 用URL创建应用程序。

添加新应用

  1. 扫描范围>扫描url并添加目标url。

InsightAppSec扫描范围配置url

  1. 爬行的限制选项卡并使用通配符排除所有站点url,然后添加您想要扫描的每个页面。

例如:

InsightAppSec扫描范围爬行限制

扫描将只包括指定的页面。

扫描2目录

如果你需要扫描应用程序中的两个目录,但你只想攻击其中一个目录中的页面,可以使用这个配置。

例如:

  1. 用URL创建应用程序。

添加新图像

  1. 扫描范围>扫描url并添加您想要锁定的子目录。

例如:

InsighAppSec扫描范围url

  1. 单击爬的限制TAB并添加你的3个限制。一个人应该排除使用通配符的站点,而2应该包括要用通配符扫描的子目录。

例如:

InsightAppSec扫描范围爬行

  1. 单击攻击的限制选项卡并添加3个新的约束。在这种情况下,您将只攻击一个目录中的页面。人会包括对该子目录进行攻击时,其他2个子目录将排除站点和其他子目录。

例如:

洞察AppSec扫描范围攻击

  1. 运行您的扫描。

只有包含在攻击限制中的页面会被攻击,但是两个子目录都会被抓取。

扫描您的应用程序和限制1目录从攻击

如果您需要扫描您的应用程序,但想要限制目录免受攻击,请使用此配置。

  1. 用URL创建应用程序。

例如:

添加新应用

  1. 扫描范围>扫描url并添加您想要锁定的子目录。

InsightAppSec Scan Scope扫描url

  1. 单击攻击的限制选项卡和一个新的约束,该约束排除带有通配符的目录,并将应用程序URL作为通配符包含。

例如:

InsightAppSec扫描范围攻击CORS

  1. 运行您的扫描。

整个站点将被爬行,但CORS目录中的页面不会受到攻击。